vpn网络建设解决方案

vpn网络建设解决方案（通用8篇）

篇1：vpn网络建设解决方案

VPN网络建设解决方案

第一章 项目背景

随着宽带Internet网络的普及，信息化的发展正在改变着企事业传统的运作方式。越来越多的企事业单位都在逐步依靠计算机网络、应用系统来开展业务，同时利用Internet来开展更多的商务活动。企业正越来越多的应用了计算机和各类应用软件和系统来处理单位业务，如何将位于全局不同地点的分支机构网络互联互通、数据安全上传，就成了必须解决的问题。

远程私有网络的需求促进了VPN的诞生和高速发展。以往专用线路(如DDN)的高昂成本和长期的使用费，以及跨运营商的不便成为公司很大的成本负担，很多公司无法利用这种方式来建立自己的专网，而在Internet发展的早期，窄带线路的通信质量、带宽、以及资费，都无法满足企事业长期利用其来构建自身远程私有网络的需要，很多企业只能暂时放弃利用网络来实现更好的信息应用的念头。但到了今天，各种宽带上网方式(如ADSL、城域网等)都在迅速发展，带宽和通信质量已经不在是瓶颈，资费也极大的降低，完全能够高效率、低成本的解决企业网络互联互通的需要。

企业为了达到本单位内部信息共享，构成统一的网络工作平台，需要将总部与分支机构组成虚拟局域网，在企业总部布置UTT5830GVPN防火墙，分支机构通过UTT2512建立虚拟局域网，为统一的网络工作平台提供基础平台，同时实现企业上网行为管理、综合管理系统、内部OA、内部其他应用系统等的数据共享和远程应用，保证信息网络的安全。

企业为了达到本单位内部信息共享，构成统一的网络工作平台，需要将总部与分支机构组成虚拟局域网，在企业总部布置UTT5830GVPN防火墙，分支机构通过UTT2512建立虚拟局域网，为统一的网络工作平台提供基础平台，同时实现企业上网行为管理、综合管理系统、内部OA、内部其他应用系统等的.数据共享和远程应用，保证信息网络的安全。

第二章 建设目标和设计原则

系统的总体设计思想是要体现技术的先进性和决策的前瞻性，企业的VPN网络构建着力于“实用性、高起点、前瞻性、扩展性”。具体的我们遵循了以下原则：

2.1. 建设目标

在完成了企业的VPN网络建设后，将为应用系统提供统一、安全、高速、可靠的网络传

输平台，具体能够实现以下目标： 1)网络互联

可实现“企业总部-分公司-分支机构”及各分公司、分支机构之间的安全互连，为内部应用系统的运行提供互连互通、安全可控、自主管理的网络平台。 2)独立性

能够根据用户的需要有选择地对需要的业务数据进行加密，不需要加密的数据和Internet接入业务可以不受到影响。 3)网络安全性

安全周边安全：VPN安全网关融合了VPN、路由、上网行为管理、防火墙等功能，可对外来及内部攻击进行主动防御，更能保证整个网络平台的安全及每个局域网内部的安全。上海艾泰有限公司VPN安全网关其内置防火墙其抗攻击能力优异。

信息传输安全：通过建立VPN加密隧道、采用有别于光纤及DDN专线所采用之传统明文传输的密文传输方式，保证信息传输的完整性、保密性及不可抵赖性，把安全真正掌握在用户手里。

可靠性：上海艾泰科技VPN安全网关性能稳定可靠，其高达60000小时的平均无故障工作时间可为系统长期稳定运行提供强有力的保证。 4)系统扩展和变更的灵活性

系统VPN网络的扩展非常容易，同时又不会带来安全隐患。 5)网络通讯效率

此次网络建设所选用的设备具有很高的加密速率，不会影响网络的通讯效率。为各种网络应用提供统一管理的、透明的网络传输平台。 6)高性价比

本项目实施后不但解决了很高的信息数据传输安全性，而且不会影响网络传输性能。本方案不仅满足今天的需求，而且支持未来扩展。本方案提供了完整的思路，具有极高的性能价格比和投资回报率。

2.2.设计目标

对企业的VPN网络平台的总体设计思想是要体现技术的先进性和决策的前瞻性，着力于“实用性、可靠性、安全型、前瞻性、扩展性”建设系统。具体的我们遵循了以下原则：

1)安全性原则

上海艾泰科技有限公司坚持以高度安全性为基本原则，有效地防止网络的非法侵入和信息的泄露，保护关键的数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性。 2)可靠性原则

这套网络安全系统是用户的主营业务平台。它的稳定可靠关系重大，信息平台的运行不稳定甚至瘫痪将严重影响企业的正常运作，将给为用户带来不便和不可低估的损失。因此可靠性是平台运行的首要保证。

上海艾泰科技有限公司将采用相应的手段保证系统、网络和数据的稳定可靠性，关键节点采用负载均衡、平台备份就是其中的重要策略。

3)先进性原则

在系统建设方案，具有相当的先进性，并能够通过对VPN设备和软件的不断升级，确保系统的技术领先性和持续发展性。

4)实用性原则

系统在设计上一方面将满足双向的数据传送、实时处理的要求;另一方面，又采用国际上最先进的技术，使系统完成后，保持一定时期的领先地位。

实用性原则既要做到先进技术与现有成熟技术相兼顾，又要使系统的高性能与实用性相结合。

5)可扩展性原则

系统建设应该是统一规划、分步实施、逐步完善的的过程。我企业在该方案的设计中充分考虑它的可扩展性，使系统能够方便的扩展。

6)可推广性原则

该方案具有很强的推广性，可根据实际情况逐步扩展网点数量。

7)易管理性原则

网络系统的管理和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理

篇2：vpn网络建设解决方案

电信行业VPN解决方案

时间：2004-7-4 14:40:27 来自： 点击：185

随着国内电信市场的高速发展，各大运营商如电信、网通、联通等等都在大力推广内部的信息化应用，利用先进的信息化管理系统来改善内部的管理。同时，为了更好的给用户提供服务，也逐步的将营业网点和业务代办点建到了众多的场所。

虽然运营商自身有着丰富的网络资源，骨干网络完全可以通过自有的DDN甚至光纤等其他专用线路来构建，但如何实现各移动用户随时安全的接入内部网络、如何将广大的代理商也能接入网络访问必要的数据，成为了运营商构建自身信息平台的重要问题之一。

随着近期各种宽带上网方式（如ADSL）的普及，新型的移动接入方式也层出不穷，众多的运营商开始采用Internet作为网络传输的补充平台、在此基础上构建安全方便的VPN虚拟网络。

远程办公，远程营业

各个服务中心开展现场营销活动时，客户经理在现场通过VPN连接总部获得营业信息，使用内部运营管理系统。在临时需要与总部联网时，不必架设繁琐的专用线路。只需要以任意方式接入Internet即可。

领导在外出差或在家办公时，只要能上网、安装VPN客户端软件，就可以登陆内部办公系统，及时审批公文和处理业务。

员工休假或出差时，也能及时通过VPN客户端、连接到内部办公系统获取公司信息。

实现效果:

原来各营业厅的客户经理在进行现场销售活动时，开通业务必须要到营业 厅内、很不方便，使用iGate SSL VPN，可以在户外现场直接开通业务，大大提高效率并提升了运营商的形象。

原来领导和员工外出办公，只能通过Modem拨号接入到办公网，速度很慢，使用iGate SSL VPN后，可以通过宽带接入办公网，速度大大提高，提高了工作效率。通过对接入授权的配置，提供给不同用户不同的权限，加强了办公网的内部安全。

连接合作伙伴、远程维护

替代原来的Modem接入方式或专线接入方式，将代理商接入到计费网络，使代理商可以在授权范围内自行开通和查询所代理的业务。

电信机房维护人员通过VPN，远程维护电信设备。

原来领导和员工外出办公，无法连接到办公网办公，使用iGate SSL VPN后，无论何时，何地，采用任何设备均可访问内部资源，提高了工作效率。

工程人员和运维人员可以远程维护机房设备，大大提高工作效率。在 iGate 上有严格的接入限制和授权，保证远程用户接入的安全性。

安全性充分满足了运营商的需要：

VPN网络的安全性有三层含义：一是数据传输的安全；二是用户接入的安全；三是对内网资源的访问安全。一般来说，所有的VPN产品都会通过数据加密技术来保障数据传输的安全，也会通过用户名密码或其他的证书认证方式等等，来保证用户接入的安全。但对内网资源的访问安全，则很多VPN产品都没有妥善的考虑。

运营商的内部网络资源繁多，也极其重要。所以首先必须保证合法的用户才能接入到网络中来，其次、对每个接入的用户，都必须设置相应的访问权限，只允许访问授权范围内的网络资源。

iGate SSL VPN采用了基于硬件的身份认证技术来解决用户的接入认证问题，即ikey身份验证令牌。只有在客户端插入ikey，输入PIN码，通过认证，才可访问被授权的资源。

另外，iGate SSL VPN还增强了对内网的安全设置，保障了第三个层次――内网资源访问的安全。尤其是接入的VPN用户并非是内部工作人员（如供应商、客户、合作伙伴等）时，对VPN用户访问权限需要更严格的设定。iGate提供了对内网访问权限的基于角色的设定，可以对不同的用户分配不同的权限规则，避免内部出现的安全隐患，一个合法的VPN用户接入总部后，他对总部资源的访问权限能够被限定在一个很小的范围内，例如总部有多个应用系统（如OA、财务、HR、CRM等等），一个普通的业务人员在联入VPN后只能访问OA或CRM，而公司领导则可以同时访问所有的应用系统，所有的这些权限都可以通过简单的配置迅速完成，极大的方便了IT安全部门的管理工作。

对移动用户的支持非常方便易用：

移动用户不可能带着硬件设备来接入公司VPN网络，有些低端的VPN产品解决移动用户的方式是直接调用操作系统自带的VPN功能，采用PPTP虚拟拨号的方式接入总部，只有基本的用户名密码验证，安全级别非常低；另外不能同时访问内网和Internet，也造成了极大的不便。

iGate SSL VPN对移动用户提供了强大的支持，并且支持“移动IP”。移动用户不但能够接入企业VPN网络，而且能够获取与在局域网内时相同的内网IP地址，并能够通过该IP地址与内部网络相互通信。这就使得移动用户不但可以访问企业网络，同时在外出时、也能够被局域网所找到，完全象在同一个局域网内一样。

篇3：校园VPN网络建设解决方案

VPN(虚拟专用网)技术是指通过公共网络建立私有数据传输通道，将远程的分支机构、商业伙伴、移动办公用户等安全连接起来的一种专用网络技术。由于我校目前有两处校区，相隔较远，为了实现资源共享，并能够在校区或师生间做到即时沟通，常常需要大量的投资，所以一直在寻找一种有效地性价比高而且实用的方案。最初准备使用专线连接，这种方案的成本和使用费用都很高，对于学校来说无疑是很大的负担。如今，各种宽带上网方式迅速发展，基于Internet构建集团的VPN网络无疑是一种高性价比的方案。因此提出建设我校的VPN解决方案，能够兼顾性能和价格，实现真正意义上的高质量、低价格的网络VPN互联。

2 校园VPN的建设规划

2.1 内部网络建设

学校内部网络建设目的主要是提高运行效率，节约日常运做成本。

2.1.1 不同校区内部电话系统

建立VPN后，两个校区可以共享网络资源。例如一套教务资源平台和办公平台通过VPN网络就可以两个校区共同使用，就直接减少了一套资源库的成本;同时，两个校区可以直接通过互联网建立内部电话系统，这样方便了两个校区的交流又节约了一部分电话费用。

2.1.2 建立内部发送系统和网络议事论坛

校园网络通知发送系统是一个能增强办公效率的软件系统，彻底实现无纸化办公。建立学校内部网络议事论坛能是使学校以最直接最快速的方式了解老师对学校事情的评价，也可以让每个老师都参与学校事情的讨论。

2.1.3 建立网络教案系统

已经进入信息化时代了，教师把教案直接写到网上也成为可能。学校可以直接到网站上检查教案，并可以加注评语，这样不但可以提高办公效率也省去了教案交来送去的麻烦，还可以共享教案，让其他老师及时点评。

2.1.4 建立教师个人网络日志

建立教师个人网络日志系统，使教师可以通过网络进行自主业务学习，并把学习资料保留到自己的网络日志上，供自己以后查询，他人也可以看到。

3 解决方案

3.1 创建安全数据通道

在我校建立VPN，可将远程的分支部门、移动办公用户安全连接起来。在该网中的主机将不再感觉到公共网络的存在，仿佛所有的主机都处于一个网络之中。对我校而言，VPN可以替代传统租用线来连接计算机或局域网等。而任何VPN业务都是基于隧道技术[1]实现的，隧道机制是VPN实施的关键。数据通过安全的“加密管道”在公共网络中传播。只需要租用本地的数据专线，连接上本地的公众信息网，各部门之间就可以互相传递信息;同时，还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入校园网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后网络发展的趋势。

3.1.1 采用基于Ipsec[2]的VPN技术

在众多的VPN解决方案中，IP-VPN脱颖而出，成为我校组建VPN的首选方案。IP-VPN是指在运行IP协议的网络上实现的VPN。由于Internet正在使用的IPv4协议在设计初期并没有过多地考虑安全问题，因此无法为用户解决他们所担心的数据安全保密性，而IPv6协议目前也是处于试运用阶段，而IP-VPN在使用了一些额外的安全技术后，解决了这一难题。

此方案中VPN的实现是通过隧道(Tunnel)技术进行连接。隧道技术通过软件“叠加”在物理网络之上，是VPN“虚拟”特征的体现，它使VPN连接看起来像是线路上惟一的数据流。借助隧道VPN，还能够使用内部网络中采用的安全和优先级策略，使我们能够完全控制数据流。隧道提供了一层名副其实的安全保障。专用的内部网和外部网VPN可使用基于IPsec的技术或普通路径封装技术(GRE)来创建永久性的“虚拟”隧道。

3.1.2 创建安全的数据通道

由于网络结构采用星型(如图1所示)，各个分支仍然使用原有的接入方式和线路，并且均通过VPN隧道与总校连接，因此使用保密性好的IPSec协议建立VPN隧道。在VPN中，IPSec的安全性是最好的。在建立安全隧道和使用安全策略时，各个过程进行得更加严格。IPSec使用了IPSec隧道模式，在这种隧道模式中，用户的数据包加密后，封装进新的IP。这样在新的数据包中，分别以开通器和终端器的地址掩蔽用户和宿主服务器的地址。

基于硬件的集成式IPsec加密，把DES或3DES加密算法[3][4]与IPPCP压缩结合起来。在加密之前实现数据压缩，不仅可以实现高速加密，还提高了WAN的可用带宽。加密技术在方案中具有可选特性，也是VPN“专有”特征的体现。加密功能只应用于特别敏感的应用数据流且只能在需要时使用，因为这种功能耗费大量的处理器容量，并会对性能产生影响。基于IPsec标准的加密方案，能与其他厂商的IPsec设备实现全面的互操作。根据用户对性能的不同要求，可通过Cisco IOS软件或模块与端口适配器中的硬件在Cisco路由器中部署加密服务[5]。

3.2 全动态VPN组网方式

目前IP-VPN的联网方式主要有3种：固定IP与固定IP、固定IP与动态IP和动态IP与动态IP。前两种方式是比较传统的方式，技术上实现容易，目前的防火墙等设备就可以实现这种功能，但申请固定IP费用较高，不适合作为我校VPN建设方案。因此选择采用全动态组网方式作为我校建立VPN的组网方式，这种组网方式的特点是动态IP与动态IP之间的VPN通信技术比较复杂，但费用较低，适于作为经费来源较少的校园用来组建VPN的方式。因此，为了解决动态IP与动态IP之间的VPN通信问题，由于整个系统没有固定IP，采用通过集中的VPN策略管理方式成功解决了双动态IP之间自动建立VPN隧道的问题。网关接入因特网之后首先向企业总部部署的“安全管理中心(SMC)”进行注册和身份认证，然后从SMC下载自己的VPN策略;同时SMC负责当策略参数发生改变时，实时通知在线的网关产品更新策略，从而确保所有的网关都能够获得最新的策略参数变化情况。

3.3 头端设备的选择及网络部署

3.3.1 VPN头端设备的选择

对VPN头端设备的选择，要综合考虑隧道的数量、VPN网络流量、TUNEL的封装类型、GRE/IPSEC，以及FW、QOS的部署，同时还要考虑到今后网络的扩展性，其中包括VPN网络的扩展性和安全性。在选择头端设备时，要考虑头端VPN设备的CPU使用率不能超过50%，包括启动FW、IDS、QOS、ROUTING等功能。思科ISR系列路由器能够很好的满足以上技术指标。对分支机构而言，VPN设备的CPU使用率不能超过65%。

目前，所有的Cisco路由器平台都可以方便地实现VPN，经过优化的Cisco路由器集成了VPN功能、高速加密、安全、带宽管理和与WAN连接的能力，降低了VPN的复杂度和成本。在此方案中采用的是用于小型地区、分支机构及远程个人的Cisco3600、2600路由器。所有的Cisco VPN路由器都完全可以互操作，为从园区到广域网ISP，以窄带或宽带速率进行多媒体通信提供了一条可扩展的端到端链路。

3.3.2 VPN网络部署的位置

VPN硬件通常和防火墙一起部署在网络的边缘(如图1所示)。这种部署方式的网络扩展性较好，所有的流量都必须经过防火墙，但是加大了VPN设备和防火墙的配置难度，因为要把VPN流量和直接从内网到Internet的流量通过做策略路由将它们分开。

该方案使用思科提供的ASA 5500系列防火墙UTM产品，在提供IPS、FW、防病毒的同时还能为用户提供强大的VPN接入功能。ASA 5500系列防火墙还支持VLAN、QOS、OSPF动态路由协议[6]。

VPN与防火墙的结合使用，可以利用防火墙的许多安全特性在VPN上建立更加安全的网络环境，增强抵御黑客攻击、禁止非法访问的能力[7][8]。校园内部特定的用户可以访问Internet网络，但是Internet网络内的主机不能通过防火墙访问校园的内部网络，只允许访问位于DMZ(非军事化区)的内部服务器主机，分校区可以利用VPN和总部建立安全的私有隧道，以访问总部的资源。

4 兼容性和可扩展性

4.1 兼容性

VPN安全网关遵循标准的Ipsec和IKE协议，在网络层对IP数据包进行加密，对网络中的数据流做基于五元组的访问控制，因此，对于应用系统是完全透明的，即上层的应用程序感觉不到数据在传输过程中被加密;也就是最终用户感觉不出使用了VPN前后在网络系统上有什么不同，也不必对自己平时的使用习惯做任何改变;应用程序的开发商也不需要对在VPN上使用的系统做特别的修改。

Ipsec协议决定了只要在网络传输上使用TCP/IP协议的应用系统，都可以在VPN平台下正常运行，然而在TCP/IP协议作为事实上工业标准的今天，任何新开发的应用系统都是基于此的，因此对于将来的ERP等系统修改、扩展乃至增加系统等等，VPN系统完全不需更改。

4.2 可扩展性

在实现基本的网络互联以及被动防护系统以及信息传输加密的前提下，为以后进一步实现网络的主动防护系统，主要包括IDS、漏洞扫描系统和统一的安全策略管理系统都留有相应的接口，便于以后的扩展以及与IDS等设备实现互动。通过集中管理，能够非常方便地进行网络节点的扩充，增加、删除网络节点对其他网节点的通信不产生负面影响，能够在充分保护已有设备投资的基础上方便进行升级和扩容。

5 结语

建立校园VPN，可以利用现有公网资源，在校区间、校区和普通用户间建立安全、可靠、经济、高效的传输链路，利用Internet的线路保证网络的互联性，采用隧道、加密等VPN特性保证信息在整个VPN上安全传输，从而极大地提高了办公效率，节省了学校资源，为信息化管理打下坚实的基础。

参考文献

[1][美]Vijay.IPSec VPN设计.北京:人民邮电出版社,2006.

[2][美]RICHARD TIBBS,EDWARD OAKES.防火墙与VPN——原理与实践.北京:清华大学出版社,2008.

[3]李伟.企业内部网的实现方案-MPLS VPN.北京:2008.

[4]闭敏.在广播电视监测网上组建VPN专网.2008.

[5][美]GREG HOLDEN.防火墙与网络安全——入侵检测和VPNS.北京:清华大学出版社,2004.

[6][美]Richard.Cisco VPN完全配置指南.北京:人民邮电出版社,2007.

[7]林健.Windows中组建VPN方案.2007.

篇4：vpn网络建设解决方案

【关键词】VPN；校园网；Access　VPN；Intranet　VPN

【中图分类号】TP393.03

【文献标识码】A

【文章编号】1672—5158（2012）10-0062-01

随着信息技术的快速发展，校园网建设变得越来越迫切。为了能够满足校园网在资源共享、联合办学发展过程中的需要，利用VPN技术来建设校园网相对更加合适。随着学校的发展，对网络的要求越来越高，传统的校园网组网技术已经难以适应学校的发展要求。较为简单的处理方式是通过公共互联网来进行互访，但是这种方法却难以保证校园网资源的安全性。为了能够更好的实现高效、安全、低成本地交换数据，在组建校园网的过程中必须要使用合理的技术进行规划。

一、VPN简介

VPN是利用公共网络资源为客户搭建专用网的一种技术，这是相对应实际的专用网络而言的，主要是基于Internet／Intranet等各种公用的开放的传输媒体，通过加密与验证等安全措施来建立起虚拟的数据传输通道，用来防止在公共网络上所传递的数据被窃取、篡改、复制，使得用户能够享受到相当与专用网络的安全服务。VPN技术当前被广泛的应用于电子商务、电子政务、大型企业等当中。总的来将VPN具有两层含义：

第一层是Virtual，指的是它是一种虚拟的网，没有固定的物理连接，只有当用户有需要时才会建立网络。

第二层是Private，指的是通过公共的网络设施来组成私有的专用网。

虚拟专用网（VPN）是当前网络发展的一种新趋势，它对传统数据网络的性能优点（安全与QOS）与共享数据网络结构的优点（成本低与简单）进行了综合。通过VPN可以进行远程访问，实现外网与内网的连接，而价格却要比专线或者是帧中继网络要低很多。并且VPN能够在降低成本的同时还可以满足对网络贷款、接入以及服务需求不断增加的情况。因此VPN技术在教育行业的应用前景相当的广泛。总的来说VPN有着以下几个特点：（1）　成本低廉可以利用现有的Internet来组建起虚拟专网，而并不需要利用专用线路就能够实现数据的安全传输；（2）　容易进行扩展，当内部网络结点越来越多时，采用专线连接的网络结构会变得越来越复杂昂贵，但是VPN只需要在结点处假设VPN设备，就能够利用Interet来建立起安全连接；（3）　VPN技术有着较强的安全性，可以利用可靠的加密认证技术，在内部网络建立隧道，可以有效的防止信息泄露、篡改以及复制；（4）　能够让地理与物理上分布分散的若干知网从逻辑上进行有效集成。

二、基于VPN的校园网络建设

VPN的关键技术就在于隧道，而隧道的形成是采用隧道协议来对数据进行封装。利用VPN技术将校园网的数据封装在隧道之中，并通过公网进行传输。在隧道协议中SSL、IPSEC、L2TP、PPTP等都是属于较为典型的。其中SSL是属于安全套接层协议，IPSEC则是属于第三层隧道协议，L2TP和PPTP则都属于第二层隧道协议。第二层隧道协议与第三层隧道协议相比，这两者的最根本的区别就在于用户的IP数据包是被封装到哪一种数据包中在隧道之中进行传输的。并且安全套接层隧道还具有更多的细粒度管理，使用更加的方便并具有良好的安全性。在校园网的组建过程中，可以采用Access　VPN和Intranet　VPN这两类。

（一）　远程用户访问虚拟网

远程用户访问虚拟网主要采用Access　VPN。Access　VPN通过一个与和专用网络具有相同策略的共享基础设施来提供对内部网或者是外部网的远程访问。通过Access　VPN，用户可以随时、随地通过他们所需要的方式访问所需要的内部资源。Access　VPN有着以下几个方面的优点：（1）　能够减少用于调制解调器与终端服务设备的资金投入，对网络进行简化；（2）　可以实现本地拨号的功能取代远距离接入，能降低远距离通信的费用；（3）　有着相当良好的扩展性；（4）　能够更加方便的对接入网络的新用户进行调度。

（二）利用Intranet　VPN构建校区之间的VPN

对于不同校区之间可以建立Intranet　VPN。Intranet　VPN是利用Internet线路来组建VPN，通过Interet的线路可以保证网络的互联性，而利用VPN的隧道、加密等特性则能够保证信息在InternetVPN传输时的安全性。Intranet　VPN通过一个使用专用连接的共享基础设施，对校本部与其他各个校区进行连接。其特点是：（1）　能够减少WAN带宽费用；（2）　可以利用较为灵活的拓扑结构，其中包括了全网孔连接；（3）　通过设备提供商WAN的连接冗余可以对网络的可用时间进行延长；（4）　新的站点能够更陕、更容易的被链接。

在两个校区之间所建立的VPN，其在策略上要求允许两个校区之中的所有用户都可以进行互访。对于这样的网络，其安全性级别要求并不是非常高，因为如果安全级别提高，不仅仅开销增加，而且数据传送也会非常的困难，特别是在很多用户都在使用VPN网络时。虽然IPSEC与L2TP和PPTP相比都有着更高的安全性，但是相对而言PPTP的实现更加容易。因此在校区之间构建的VPN连接可以采用PPTP协议。在两个校区之间建立VPN，需要在两段的VPN设备中配置路由，并让所有到达对方校区的访问都通过VPN。校园网中的用户很多都是使用的Windows系统平台，因此，可以利用Windows系统来建立VPN路由，同时还需要对VPN方案的稳定性以及设备本身的交换能力进行考虑，因此具有VPN功能的路由器将会是更好的选择。在两个校区具有VPN功能的路由器之间建立隧道，这两个路由器主要起封装和解包的作用。

在两个校区之间建立VPN时如果采用带有VPN功能的路由器来实现，需要对两地的路由、用户、地址池以及协议进行配置，通过这样的方式在这两个校区的路由器之间建立起虚拟专用链路。当校区1的用户对校区2的网络进行访问时，根据校区1VPN路由器中的静态路由，用户能够通过这两个校区之间的虚拟隧道来道德校区2的路由器，而校区2的路由器则为该用户分配一个在校区2内的校园网专用IP，并根据用户的账户名等相关信息来检测自身配置，根据检查的结果赋予相应的权限，反之亦然。

三、结语

随着信息技术的快速发展，学校中的软硬件资源已经较为完备，各种设施也较为齐全，这些都为构建VPN提供了基本的物质条件。同时如今VPN技术已经较为成熟，并且在商业上的应用也相当成熟，校园网在利用VPN构建校园网时可以对商业解决方案进行借鉴。相信，通过采用合理的VPN技术可以使得校园网络更加的合理。

参考文献

[1]　张敏波.网络安全实战详解：企业专供版[M].北京：电子工业出版社，2008

[2]　安钢.校园网扩展建设中的VPN技术探析[J].科技信息，2009，（01）

[3]　王达.虚拟专用网（VPN）精解[M].北京清华大学出版社，2005

篇5：vpn网络建设解决方案

[关键词]房地产项目 全过程 跟踪审计

近年来，我国房地产业从“支柱产业”逐渐沦落为宏观调控的重点对象，去除泡沫、稳定房价、压缩房地产商利润空间成为政府的政策导向，房地产业将很快会告别暴利时代，行业利润将会理性回归，行业的竞争将趋于白热化，只有那些极少数具备卓越的精细化管理优势，拥有强大资本和畅通的融资渠道，拥有先进管理理念的地产商才会脱颖而出，做强做大。在这样的大背景下，房地产企业的内部审计部门作为企业内部独立评价机构，应积极创新审计思路，通过有效的审计监督和诊断，提高企业管理水平，为企业增加价值。

一、开展项目全过程跟踪审计的必要性

开发项目具有周期长、投资额大、控制环节多等特点，建设过程中的投资决策、设计、销售、采购、招标、施工、监理等任何一个环节出现漏洞，都可能导致无法挽回的损失，直接影响项目的投资效益。因此有必要对项目进行全过程、全方位的监控。

长期以来，开发企业对项目的全程审计不很重视，审计部门的精力主要停留在工程竣工结算的审核以及项目终结后效益的分析考核上，这样做往往是亡羊补牢。这种事后审计，对于审计发现的问题有的已无法整改，或不具备整改的条件；有的整改起来比较被动，通过开展全过程跟踪审计就可以及时发现项目实施过程中出现的问题，及时提出整改方案和措施，实现项目效益的最大化。

二、对项目全过程审计的内容及审计思路

开发项目全过程跟踪审计根据项目开发流程和工作特点，可划分为三个阶段，投资决策及设计阶段、项目实施阶段、项目终结阶段。

（一）项目投资决策及设计阶段的审计。

1．开发项目可行性分析是项目投资前期工作的核心和重点，也是项目决策的重要依据，审计中应对可行性分析报告进行全面的审查，重点关注以下内容：

（1）结合企业的战略发展要求分析项目的投资环境、项目定位、市场前景、资金运作、经济效益、社会效益、面临的风险及防范措施等关键内容。

（2）复核可研报告中的基础数据、相关参数、经济指标等，确定项目建设在经济上的效益性和经济性。

2．设计阶段是开发项目成本管理的重点环节，据有关研究表明，设计对工程造价的影响程度达到75%以上，显而易见，优良的设计是有效控制工程造价的关键，项目的工期、质量能否保证，投资能否节约，在很大程度上也取决于设计质量的优劣。该阶段审计应关注：（1）是否建立完善的择优机制选择设计单位；（2）审查是否采用了“限额设计”法，各专业指标是否分解到位，是否设立了较强的设计审查小组，是否有相应的奖罚机制来确保设计质量；（3）分析设计方案是否运用了价值工程进行优化，设计选用的材料设备是否符合项目定位。[!--empirenews.page--]

（二）项目实施阶段的审计

项目进入实施阶段，审计的思路就是依据项目目标，定期审查项目阶段性目标完成情况，分析项目执行是否偏离目标，针对存在的问题提出改进措施，具体来讲，应围绕以下几方面开展审计工作。[1][2]下一页

1．审查项目目标。项目开发的目标大体分为：销售目标、进度目标、成本控制目标、质量目标、融资目标、费用控制目标。审计中应对项目目标的编制深度、目标的可落实性、可考查性，可行性进行审查，从而形成项目实施过程审计的目标评价体系。

2．实施有效的评估。分阶段对各项目标完成情况进行评估，审计中应主要集中于分析实际绩效与目标的偏差，分析产生偏差的原因。审计的内容分两个方面：一是量化的目标完成效果，这方面的审查比较客观；二是审查责任人对偏差产生后的应对措施，以及纠正行动方案的合理性，即评估责任人应对变化的能力。

3．发现偏差，立刻督促项目管理组织予以纠正。在定期的项目管理审计中，若发现当前的工作可能影响阶段目标的完成，从而影响到项目总体目标，就必须立刻督促项目管理组织提出纠正行动方案。

4．对项目目标调整的审查应是项目实施过程中审计的重点。既要允许项目管理组织根据实际情况，在必要的情况下调整工作目标，又要防止项目组夸大客观事实、随意调整项目目标。在审计工作中，要重点把握调整目标的程序性、出现偏差与目标的关联性以及项目责任人员的主观努力性。

（三）项目终结阶段的审计

项目终结后，要集中审查项目的实际结果和决策目标是否一致、偏差是否合理；对项目的投资决策、实施过程等环节进行事后审查，以全新的角度审计项目的全过程。

1．重新审查项目投资决策的科学性，尤其要审查投资决策的预见性。对项目实施中出现的新情况必须认真分析，哪些是应该能够预见的，哪些是无法预见的。

2．重新审查对预见的风险因素采取措施的科学性、合理性。即审查企业的变化管理中的防范风险的能力。

3．重新审查企业的项目管理能力。审查项目责任人在项目实施中职责履行情况，项目完成情况与项目决策目标的偏差，项目绩效指标与房地产行业平均水平的偏差。

三、对开发项目关键环节的审计

众所周知，开发项目投资构成中，建安投资占的比重很大，在建安环节中，尽管节约投资的可能性已经很小，但浪费投资的可能性却很大。因而要对建安环节进行重点监控。在审计中，侧重把握以下三个方面。

（一）工程招投标的审计。应当注重审查工程建设项目在勘察、施工、供货、监理等合作单位的选定时，是否实行了招投标制，是否按照“公开、公平、公正”的原则进行招投标。审计应重点审查招投标程序的合法性及操作的规范性，审查投标单位资质和条件的有效性，审查招标小组评标办法的合理性，审查工程标底的合理性。通过实施项目招投标的审计，从源头上降低工程造价，提高项目的投资效益。[!--empirenews.page--]

（二）项目合同的审计。建设合同是明确双方当事人权利义务的有效依据，也是确保工程质量、进度、造价的关键文件，因此审计应重点关注项目工程建设是否遵守“先订合同，后施工”原则，有无无合同施工的现象，合同是否响应招投标文件，合同条款是否齐全严谨，如定额套用、费用计取、材料供应、工期进度等主要条款是否明确等。

篇6：VPN定义

开放分类： 互联网、网络、电脑、技术

VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或WINDOWS2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。

虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。下面我们结合本站有关思科及微软关于VPN方面的文章为大家介绍这方面的资讯，更多更丰富的相关方面内容我们将在以后日子里进行补充。

针对不同的用户要求，VPN有三种解决方案：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应。

======

虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。

虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的压网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

目前很多单位都面临着这样的挑战：分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。现在很多公司通过使用IPSec VPN来保证公司总部和分支机构以及移动工作人员之间安全连接。

对于很多IPSec VPN用户来说，IPSec VPN的解决方案的高成本和复杂的结构是很头疼的。存在如下事实：在部署和使用软硬件客户端的时候，需要大量的评价、部署、培训、升级和支持，对于用户来说，这些无论是在经济上和技术上都是个很大的负担，将远程解决方案和昂贵的内部应用相集成，对任何IT专业人员来说都是严峻的挑战。由于受到以上IPSec VPN的限制，大量的企业都认为IPSec VPN是一个成本高、复杂程度高，甚至是一个无法实施的方案。为了保持竞争力，消除企业内部信息孤岛，很多公司需要在与企业相关的不同的组织和个人之间传递信息，所以很多公司需要找一种实施简便，不需改变现有网络结构，运营成本低的解决方案。

----从概念上讲，IP-VPN是运营商(即服务提供者)支持企业用户应用的方案。一个通用的方法可以适用于由一个运营商来支持的、涉及其他运营商网络的情况（如运营商的运营商）。

----图1给出了实现IP-VPN的一个通用方案。其中，CE路由器是用于将一个用户站点接入服务提供者网络的用户边缘路由器。而PE路由器则是与用户CE路由器相连的、服务提供者的边缘路由器。

----站点是指这样一组网络或子网，它们是用户网络的一部分，并且通过一条或多条PE/CE链路接至VPN。VPN是指一组共享相同路由信息的站点，一个站点可以同时位于不同的几个VPN之中。

----图2显示了一个服务提供者网络支持多个VPN的情况。如图2所示，一个站点可以同时属于多个VPN。依据一定的策略，属于多个VPN的站点既可以在两个VPN之间提供一定的转发能力，也可以不提供这种能力。当一个站点同时属于多个VPN时，它必须具有一个在所有VPN中唯一的地址空间。

----MPLS为实现IP-VPN提供了一种灵活的、具有可扩展性的技术基础，服务提供者可以根据其内部网络以及用户的特定需求来决定自己的网络如何支持IP-VPN。所以，在MPLS/ATM网络中,有多种支持IP-VPN的方法，本文介绍其中两种方法。

方案一

----本节介绍一种在公共网中使用MPLS提供IPVPN业务的方法。该方法使用LDP的一般操作方式，即拓扑驱动方式来实现基本的LSP建立过程，同时使用两级LSP隧道(标记堆栈)来支持VPN的内部路由。

----图3 给出了在MPLS/ATM核心网络中提供IPVPN业务的一种由LER和LSR构成的网络配置。

----LER(标记边缘路由器)

----LER是MPLS的边缘路由器，它位于MPLS/ATM服务提供者网络的边缘。对于VPN用户的IP业务量，LER将是VPN隧道的出口与入口节点。如果一个LER同时为多个用户所共享，它还应当具有执行虚拟路由的能力。这就是说，它应当为自己服务的各个VPN分别建立一个转发表，这是因为不同VPN的IP地址空间可能是有所重叠的。

----LSR(标记交换路由器)

----MPLS/ATM核心网络是服务提供者的下层网络，它为用户的IP-VPN业务所共享。

----建立IP-VPN区域的操作

----希望提供IP-VPN的网络提供者必须首先对MPLS域进行配置。这里的MPLS域指的就是IPVPN区域。作为一种普通的LDP操作，基本的LSP 建立过程将使用拓扑驱动方法来进行，这一过程被定义为使用基本标记的、基本的或是单级LSP建立。而对于VPN内部路由，则将使用两级LSP隧道（标记堆栈）。

----VPN成员

----每一个LER都有一个任务，即发现在VPN区域中为同一 IPVPN服务的其他所有LER。由于本方案最终目的是要建立第二级MPLS隧道，所以 LER发现对等实体的过程也就是LDP会话初始化的过程。每一个LER沿着能够到达其他 LER的每一条基本网络LSP，向下游发送一个LDP Hello消息。LDP Hello消息中会包含一个基本的MPLS标记，以方便这些消息能够最终到达目的LER。

----LDP Hello消息实际上是一种查询消息，通过这一消息，发送方可以获知在目的LER处是否存在与发送方LSR同属一个VPN的LER（对等实体）。新的Hello消息相邻实体注册完成之后，相关的两个LER之间将开始发起LDP会话。随后，其中一个LER将初始化与对方的TCP连接。当TCP连接建立完成而且必要的初始化消息交互也完成之后，对等LER之间的会话便建立起来了。此后，双方各自为对方到自己的LSP 隧道提供一个标记。如果LSP隧道是嵌套隧道，则该标记将被推入标记栈中，并被置于原有的标记之上。

----VPN成员资格和可到达性信息的传播

----通过路由信息的交换，LER可以学习与之直接相连的、用户站点的IP地址前缀。LER需要找到对等LER，还需要找到在一个VPN中哪些LER 是为同一个VPN服务的。LER将与其所属的VPN区域中其他的LER建立直接的LDP会话。换言之，只有支持相同VPN的LER之间才能成功地建立LDP会话。

----VPN内的可到达性

----最早在嵌套隧道中传送的数据流是LER之间的路由信息。当一个LER被配置成一个IPVPN的一员时，配置信息将包含它在VPN内部要使用的路由协议。在这一过程中，还可能会配置必要的安全保密特性，以便该LER能够成为其他LER的相邻路由器。在VPN内部路由方案中，每一次发现阶段结束之后，每一个LER 都将发布通过它可以到达的、VPN用户的地址前缀。

----IP分组转发

----LER之间的路由信息交互完成之后，各个LER都将建立起一个转发表，该转发表将把VPN用户的特定地址前缀(FEC转发等价类)与下一跳联系起来。当收到的IP分组的下一跳是一个LER时，转发进程将首先把用于该LER的标记（嵌套隧道标记）推入标记栈，随后把能够到达该LER的基本网络LSP上下一跳的基本标记推入标记分组，接着带有两个标记的分组将被转发到基本网络LSP中的下一个LSR；当该分组到达目的LER时，最外层的标记可能已经发生许多次的改变，而嵌套在内部的标记始终保持不变；当标记栈弹出后，继续使用嵌套标记将分组发送至正确的LER。在LER上，每一个VPN使用的嵌套标记空间必须与该LER所支持的其他所有VPN使用的嵌套标记空间不同。

方案二

----本节将对一种在公共网中使用MPLS和多协议边界网关协议来提供IP-VPN业务的方法进行介绍，其技术细节可以参见RFC 2547。

----图1 给出了在MPLS/ATM核心网络中提供IPVPN业务的、由LER和LSR构成的网络配置，图4则给出了使用RFC 2547的网络模型。

----提供者边缘(PE)路由器

----PE路由器是与用户路由器相连的服务提供者边缘路由器。

----实际上，它就是一个边缘LSR（即MPLS网络与不使用 MPLS的用户或服务提供者之间的接口）。

----用户边缘(CE)路由器

----CE路由器是用于将一个用户站点接至PE路由器的用户边缘路由器。在这一方案中，CE路由器不使用MPLS，它只是一台IP路由器。CE不必支持任何VPN的特定路由协议或信令。

----提供者(P)路由器

----P路由器是指网络中的核心LSR。

----站点（Site）

----站点是指这样一组网络或子网：它们是用户网络的一部分，通过一条或多条PE/CE链路接至VPN。VPN是指一组共享相同路由信息的站点。一个站点可以同时位于不同的几个VPN之中。

----路径区别标志

----服务提供者将为每一个VPN分配一个唯一的标志符，该标志符称为路径区别标志（RD）,它对应于服务提供者网络中的每一个Intranet或Extranet 都是不同的。PE路由器中的转发表里将包含一系列唯一的地址，这些地址称为VPNIP 地址，它们是由RD与用户的IP地址连接而成的。VPNIP地址对于服务提供者网络中的每一个端点都是唯一的，对于VPN中的每一个节点（即VPN中的每一个PE路由器），转发表中都将存储有一个条目。

----连接模型

----图4给出了MPLS/BGP VPN的连接模型。

----从图4中可以看出，P路由器位于MPLS网络的核心。PE路由器将使用MPLS与核心MPLS网络通信，同时使用IP路由技术来与CE路由器通信。P与PE路由器将使用IP路由协议（内部网关协议）来建立MPLS核心网络中的路径，并且使用LDP实现路由器之间的标记分发。

----PE路由器使用多协议BGP4来实现彼此之间的通信，完成标记交换和每一个VPN策略。除非使用了路径映射标志（route reflector），否则PE 之间是BGP全网状连接。特别地，图4中的PE处于同一自治域中，它们之间使用内部BGP（iBGP）协议。

----P路由器不使用BGP协议而且对VPN一无所知，它们使用普通的MPLS协议与进程。

----PE路由器可以通过IP路由协议与CE路由器交换IP路径，也可以使用静态路径。在CE与PE路由器之间使用普通的路由进程。CE路由器不必实现MPLS或对VPN有任何特别了解。

----PE路由器通过iBGP将用户路径分发到其他的PE路由器。为了实现路径分发，BGP使用VPN-IP地址（由RD和IPv4地址构成）。这样，不同的VPN可以使用重叠的IPv4地址空间而不会发生VPN-IP地址重复的情况。

----PE路由器将BGP计算得到的路径映射到它们的路由表中，以便把从CE路由器收到的分组转发到正确的LSP上。

----这一方案使用两级标记：内部标记用于PE路由器对于各个VPN的识别，外部标记则为MPLS网络中的LSR所用——它们将使用这些标记把分组转发给正确的PE。

----建立IP-VPN区域的操作

----希望提供IP-VPN业务的网络提供者必须按照连接需求对网络进行设计与配置，这包括：PE必须为其支持的VPN以及与之相连的CE所属的VPN 进行配置；MPLS网络或者是一个路径映射标志中的PE路由器之间必须进行对等关系的配置；为了与CE进行通信，还必须进行普通的路由协议配置；为了与MPLS核心网络进行通信，还必须进行普通的MPLS配置（如LDP、IGP）。另外，P路由器除了要求能够支持MPLS之外，还要能够支持VPN。

>----VPN成员资格和可到达性信息的传播

----PE路由器使用IP路由协议或者是静态路径的配置来交换路由信息，并且通过这一过程获得与之直接相连的用户网站IP地址前缀。

----PE路由器通过与其BGP对等实体交换VPN-IP地址前缀来获得到达目的VPN站点的路径。另外，PE路由器还要通过BGP与其PE路由器对等实体交换标记，以此确定PE路由器间连接所使用的LSP。这些标记用作第二级标记，P 路由器看不到这些标记。

----PE路由器将为其支持的每一个VPN分别建立路由表和转发表，与一个PE路由器相连的CE路由器则根据该连接所使用的接口选择合适的路由表。

----IP分组转发

----PE之间的路由信息交换完成之后，每一个PE都将为每一个VPN建立一个转发表，该转发表将把VPN用户的特定地址前缀与下一跳PE路由器联系起来。

----当收到发自CE路由器的IP分组时，PE路由器将在转发表中查询该分组对应的VPN。

----如果找到匹配的条目，路由器将执行以下操作：

----如果下一跳是一个PE路由器，转发进程将首先把从路由表中得到的、该PE路由器所对应的标记（嵌套隧道标记）推入标记栈；PE路由器把基本的标记推入分组，该标记用于把分组转发到到达目的PE路由器的、基本网络LSP上的第一跳；带有两级标记的分组将被转发到基本网络LSP上的下一个LSR。

----P路由器（LSR）使用顶层标记及其路由表对分组继续进行转发。当该分组到达目的LER时，最外层的标记可能已发生多次改变，而嵌套在内部的标记保持不变。

----当PE收到分组时，它使用内部标记来识别VPN。此后，PE将检查与该VPN相关的路由表，以便决定对分组进行转发所要使用的接口。

----如果在VPN路由表中找不到匹配的条目，PE路由器将检查Internet路由表（如果网络提供者具备这一能力）。如果找不到路由，相应分组将被丢弃。

----VPNIP转发表中包含VPNIP地址所对应的标记，这些标记可以把业务流路由至VPN中的每一个站点。这一过程由于使用的是标记而不是IP 地址，所以在企业网中，用户可以使用自己的地址体系，这些地址在通过服务提供者网络进行业务传输时无需网络地址翻译（NAT）。通过为每一个VPN使用不同的逻辑转发表，不同的VPN业务将可以被分开。使用BGP协议，交换机可以根据入口选择一个特定的转发表，该转发表可以只列出一个VPN有效目的地址。

----为了建立企业的Extranet，服务提供者需要对VPN之间的可到达性进行明确指定(可能还需要进行NAT配置)。

----安全

篇7：VPN 实验心得

（一）vpn access server的配置

实验网络拓扑：

pc（vpn client 4.01）－－－switch－－－router1720

pc配置:

ip：10.130.23.242/28

gw：10.130.23.246

1720接口ip：

f0：10.130.23.246/28

lo0：172.16.1.1/24

1720的ios为c1700-k93sy7-mz.122-8.T5.bin

步骤：

1、配置isakmp policy：

crypto isakmp policy 1

encr 3des

authen pre-share

group 2

2、配置vpn client地址池

cry isa client conf address-pool local pool192

ip local pool pool192 192.168.1.1 192.168.1.254

3、配置vpn client有关参数

vpn access server）（cry isa client conf group vclient-group

####vclient-group就是在vpn client的连接配置中需要输入的group authentication name。

key vclient-key

####vclient-key就是在vpn client的连接配置中需要输入的group authentication password。

pool pool192 ####client的ip地址从这里选取

####以上两个参数必须配置，其他参数还包括domain、dns、wins等，根据情况进行配置。

4、配置ipsec transform-set

cry ipsec trans vclient-tfs esp-3des esp-sha-hmac

5、配置map模板

cry dynamic-map template-map 1

set transform-set vclient-tfs ####和第四步对应

6、配置vpnmap

cry map vpnmap 1 ipsec-isakmp dynamic template-map

#### 使用第?*脚渲玫?map 模板

cry map vpnmap isakmp author list vclient-group ####使用第三步配置的参数authorization

cry map vpnmap client conf address respond ####响应client分配地址的请求

7、配置静态路由

ip route 192.168.1.0 255.255.255.0 fastethernet0

说明几点：

（1）因为1720只有一个fastethernet口，所以用router1720上的lo0地址来模拟router内部网络。

（2）vpn client使用的ip pool地址不能与router内部网络ip地址重叠。

（3）10.130.23.0网段模拟公网地址，172.16.1.0网段用于1720内部地址，192.168.1.0网段用于vpn通道。

（4）没有找到设置vpn client获取的子网掩码的办法。看来是ios还不支持这个功能。

（5）关于split tunnel。配置方法：首先，设置access 133 permit ip 172.16.1.0 0.0.0.255 any，允许1720本地网络数据通过tunnel，然后在第三步骤中添加一个参数：acl 133。

1720的完整配置：

VPN1720#sh run

Building configuration...Current configuration : 1321 bytes!

version 12.2

service timestamps debug uptime

service timestamps log uptime

no service password-encryption!

hostname VPN1720!

enable secret 5 $1$aNmA$b0AqzlCr3MfM5XU0IAmED.!

mmi polling-interval 60

no mmi auto-configure

no mmi pvc

mmi snmp-timeout 180

ip subnet-zero!

!

no ip domain-lookup!

ip audit notify log

ip audit po max-events 100!

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp client configuration address-pool local pool192!

crypto isakmp client configuration group vclient-group

key vclient-key

domain test.com

pool pool192!

!

crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac!

crypto dynamic-map template-map 1

set transform-set vclient-tfs!

!

crypto map vpnmap isakmp authorization list vclient-group

crypto map vpnmap client configuration address respond

crypto map vpnmap 1 ipsec-isakmp dynamic template-map!

！

!

interface Loopback0

ip address 172.16.1.1 255.255.255.240!

interface FastEthernet0

ip address 10.130.23.246 255.255.255.240

speed auto

crypto map vpnmap!

interface Serial0

no ip address

shutdown!

ip local pool pool192 192.168.1.1 192.168.1.254

ip classless

ip route 192.168.1.0 255.255.255.0 FastEthernet0

no ip http server

ip pim bidir-enable!

！

!

line con 0

line aux 0

line vty 0 4!

no scheduler allocate

end

VPN Client 4.01的配置：

新建一个connection entry，参数中name任意起一个，host填入vpn access server的f0地址10.130.23.246，group auahentication中name填vclient-group，password填vclient-key.测试：

（1）在pc上运行VPN client，连接vpn access server。

（2）ipconfig/all，查看获取到的ip地址与其他参数。

（3）在router，show cry isa sa,看连接是否成功。

（4）从router，ping client已经获取到的ip地址，通过。

（5）从client，ping router的lo0配置的地址172.16.1.1，通过。

（6）查看vpn client软件的status--statistics,可以看到加密与解密的数据量。

（7）1720上show cry ip sa, 也可以查看加密与解密的数据量。

常用调试睿?

show cry isakmp sa

show cry ipsec sa

clear cry sa

clear cry isakmp

debug cry isakmp #####这是最常用的debug命令，vpn连接的基本错误都可以用它来找到

debug cry ipsec

（二）easy vpn client的配置（network-extension mode）

实验网络拓扑：

router3662（vpn client）－－－switch－－－router1720（vpn access server）

pc(vpn client 4.01)－－－－－－|

3662接口ip:

f0/0：10.130.23.244/28

f0/1：172.16.2.1/2

41720接口ip：

f0：10.130.23.246/28

lo0：172.16.1.1/24

pc配置:

ip：10.130.23.242/28

gw：10.130.23.246

1720的ios为c1700-k93sy7-mz.122-8.T5.bin

3662的ios为c3660-jk9o3s-mz.123-1a.bin

步骤：

1、配置1720路由器，参照实验一，设置为vpn server。

2、配置3662路由器，设置vpn client参数

cry ip client ezvpn vclient ####定义crypto-ezvpn name

mode network-extension ####设置为网络扩展模式

group vclient-group key vclient-key ####设置登录vpn server的组名与组口令

peer 10.130.23.246 ####设置vpn server的ip地址，如果启用dns，则可以用hostname

connect auto ####设置为自动连接。如果设为手动，则必须使用cry ip client ezvpn connect vclient命令来启动vpn通道。

local-address F0/0 ####设置vpn通道本地地址，选用f0/0，可以保证vpn server找到它

3、定义加密数据入口，这里为f0/1

inter f0/1

cry ip client ezvpn vclient inside

4、定义加密数据出口，这里为连接vpn server的f0/0

inter f0/0

cry ip client ezvpn vclient outside

5、在1720上设置静态路由，地址范围为3662路由本地网络的地址

ip route 172.16.2.0 255.255.255.0 f0

6、设置ip dhcp服务 ####cisco推荐使用dhcp来进行本地网络ip的分配。此步骤可选。

service dhcp ####启动dhcp 服务

ip dhcp pool dhcppool ####定义dhcp pool name

network 172.16.2.0 /24 ####定义可分配的IP地址段

default-router 172.16.2.1 ####定义dhcp client的默认网关

lease 1 0 0 ####设置ip保留时间

import all ####如果配置了上级dhcp，server，则接受其所有参数

ip dhcp excluded-address 172.16.2.1 ####将router上的地址排除

测试：

（1）配置好3662上的vpn client后，自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。

（2）在1720上扩展ping，source 10.130.23.246 destination 172.16.2.1，通过。查看show cry ip sa，可以发现数据没有进行加密。

（3）在1720上扩展ping，source 172.16.1.1 destination 172.16.2.1，通过。查看show cry ip sa，可以发现数据通过加密进行传输。

（4）在3660上扩展ping，source 172.16.2.1 destination 172.16.1.1，通过。查看show cry ip sa，可以发现数据通过加密进行传输。

（5）在3660上扩展ping，source 10.130.23.244 destination 172.16.1.1，不通。查看show cry ip sa，可以发现数据不通过加密。

（6）启动pc vpn client，ping 172.16.1.1，通过。在1720上查看show cry ip sa，可以看到数据通过加密进行传输。

（7）在pc vpn client，ping 172.16.2.1，通过。在1720和3662上查看show cry ip sa，可以看到数据通过加密进行传输。在1720上show cry isa sa，可以看到两个vpn连接。

（8）在3660上扩展ping，source 172.16.2.1 destination 192.168.1.10（pc vpn client获得的ip），通过。查看show cry ip sa，可以发现数据通过加密进行传输。

说明：

（1）不同平台，不同ios版本，easy vpn client的配置有所不同。特别是加密数据入出接口的配置，配置接口前后，用show cry ip client ezvpn来查看与验证。

（2）network-extension模式，vpn server和vpn client两端的内部网络之间可以通过ip地址互相访问。

（3）以上配置均没有启用split tunnel。设置split tunnel的方法:首先参考实验

（一），设置acl 133和cry isa client conf group中的参数，完成后，可以实现测试（1）－（5）。要实现Pc vpn client和3662 vpn client 互通，即测试（6）－（8），还要在1720 的acl 133中添加两条，分别是access 133 permit ip 192.168.1.0 0.0.0.255 any、access 133 permit ip 172.16.2.0 0.0.0.255 any。

（4）修改1720配置后，需要复位vpn通道，才可以起作用。在pc端，是通过disconnect再connect来实现；在3662上，通过clear cry ip client ezvpn来复位。

常用调试命令：

show cry ip client ezvpn

clear cry ip client ezvpn

deb cry ip client ezvpn

show cry ip sa

deb cry isa

show cry isa sa

（三）easy vpn client的配置（client mode）

实验网络拓扑同实验

（二）实验步骤参考实验

（二），其中第二步，将mode network-extension改为mode client。

测试：

（1）配置好3662上的vpn client后，自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。

（2）在1720上扩展ping，source 10.130.23.246 destination 172.16.2.1，不通。

（3）在1720上扩展ping，source 172.16.1.1 destination 172.16.2.1，不通。这是因为3662端ip数据流是通过nat进行传输。

（4）在3660上扩展ping，source 172.16.2.1 destination 172.16.1.1，通过。查看show cry ip sa，可以发现数据通过加密进行传输。在1720上打开deb ip icmp，可以看到echo reply信息的dst地址为192.168.1.19（vpn client 从vpn server获取的ip地址）。

（5）在3660上扩展ping，source 10.130.23.244 destination 172.16.1.1，不通。

说明：

（1）client 模式，vpn client端内部网络采用nat方式与vpn server进行通信，vpn client端网络可以访问server端网络资源，server端网络不能访问client端内部网络资源。

（2）client与network-extension两种模式，show cry ip sa，可以看到local ident是不同的。

（3）client模式下，用show ip nat statistics，可以看到nat的配置与数据流量。

（4）关于split tunnel，client模式的easy vpn client，与pc的vpn client类似，配置split tunnel的方法也相同。

常用调试命令：

show cry ip client ezvpn

clear cry ip client ezvpn

deb cry ip client ezvpn

show cry ip sa

deb cry isa

show cry isa sa

show ip nat statistics

（四）site to site vpn的配置（采用pre-share）

实验网络拓扑：

router3662－－－switch－－－router1720

3662接口ip:

f0/0：10.130.23.244/28

f0/1：172.16.2.1/2

41720接口ip：

f0：10.130.23.246/28

lo0：172.16.1.1/24

1720的ios为c1700-k93sy7-mz.122-8.T5.bin

3662的ios为c3660-jk9o3s-mz.123-1a.bin

步骤：

以1720为例进行配置

（1）配置静态路由 ####在配置vpn之前，需要保证两方的网络可以互相访问。

ip route 172.16.2.0 255.255.255.0 10.130.23.244

（2）定义加密数据的acl

access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

（3）定义isakmp policy

cry isa policy 1

authentication pre-share ####采用pre-share key进行验证

####authentication参数必须配置，其他参数如group、hash、encr、lifetime等，如果进行配置，需要注意两个路由器上的对应参数配置必须相同。

（4）定义pre-share key

cry isa key pre-share-key address 10.130.23.244

####其中pre-share-key 为key，两个路由器上要一样

####其中10.130.23.244为peer路由器的ip地址。

（5）定义transform-set

cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac

####其中vpn-tfs为transform-set name，后面两项为加密传输的算法

mode transport/tunnel #####tunnel为默认值，此配置可选

（6）定义crypto map entry

cry map vpn-map 10 ipsec-isakmp

####其中vpn-map为map name，10 是entry 号码，ipsec-isakmp表示采用isakmp进行密钥管理

match address 144 ####定义进行加密传输的数据，与第二步对应

set peer 10.130.23.244 ####定义peer路由器的ip

set transform-set vpn-tfs ####与第?*蕉杂?br /> ####如果一个接口上要对应多个vpn peer，可以定义多个entry，每个entry对应一个peer

（7）将crypto map应用到接谏?br /> inter f0 #####vpn通道入口

cry map vpn-map

（8）同样方法配置3662路由器。

1720的完整配置：

VPN1720#sh run

Building configuration...Current configuration : 1217 bytes!

version 12.2

service timestamps debug uptime

service timestamps log uptime

no service password-encryption!

hostname VPN1720!

logging buffered 4096 debugging

no logging rate-limit

enable password CISCO!

username vclient1 password 0 vclient1

mmi polling-interval 60

no mmi auto-configure

no mmi pvc

mmi snmp-timeout 180

ip subnet-zero!

!

ip domain-name fjbf.com!

ip audit notify log

ip audit po max-events 100!

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp key pre-share-key address 10.130.23.244!

!

crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!

crypto map vpn-map 10 ipsec-isakmp

set peer 10.130.23.244

set transform-set vpn-tfs

match address 144!

！

!

interface Loopback0

ip address 172.16.1.1 255.255.255.0!

interface FastEthernet0

ip address 10.130.23.246 255.255.255.240

speed auto

crypto map vpn-map!

interface Serial0

no ip address

encapsulation ppp

no keepalive

no fair-queue!

ip classless

ip route 172.16.2.0 255.255.255.0 10.130.23.244

no ip http server

ip pim bidir-enable!

!

access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255!

!

line con 0

exec-timeout 0 0

speed 115200

line aux 0

line vty 0 4

login!

end

测试：

（1）未将map应用到接口之前，在1720，扩展ping，source 10.130.23.246 destination 172.16.2.1，通过。扩展ping，source 172.16.1.1 destination 172.16.2.1，通过。

（2）map应用到接口之后，在1720，扩展ping，source 10.130.23.246 destination 172.16.2.1，通过。查看show cry ip sa，可以看到数据没有通过vpn 通道进行传输，因为不符合acl 144。

（3）map应用到接口之后，在1720，扩展ping，source 172.16.1.1 destination 172.16.2.1，通过。查看show cry ip sa，可以看到数据通过vpn 通道进行传输。

（4）在3662上同样进行测试。

说明：

（1）采用pre-share方式加密数据，配置简单，数据传输效率较高，但是安全性不高。

（2）加密数据前后，通过ping大包的方式测试，可以发现这种利用软件进行数据加密的方式，延时较大。如果需要开展voip、ip 视讯会议等业务，建议选配vpn模块进行硬件加密。

常用调试命令：

show cry isa sa

show cry ip sa

show cry engine configuration

show cry engine connections active

show cry engine connections flow

deb cry isa

deb cry ip

（五）site to site vpn的配置（采用rsa-encrypted）

实验网络拓扑：

router3662－－－switch－－－router1720

3662接口ip:

f0/0：10.130.23.244/28

f0/1：172.16.2.1/2

41720接口ip：

f0：10.130.23.246/28

lo0：172.16.1.1/24

1720的ios为c1700-k93sy7-mz.122-8.T5.bin

3662的ios为c3660-jk9o3s-mz.123-1a.bin

步骤：

以1720为例进行配置

（1）配置静态路由 ####在配置vpn之前，需要保证两方的网络可以互相访问。

ip route 172.16.2.0 255.255.255.0 10.130.23.244

（2）定义加密数据的acl

access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

（3）生成rsa key

cry key generate rsa general-keys ####生成General Purpose rsa Key

或者 cry key generate rsa usage-keys ####分别生成rsa signing key和rsa encryption key

这里 统一用general purpose key

（4）复制peer router的public key到本地router中

（A）在3662上生成general purpose key

（B）在3662上show cry key mypubkey rsa，复制其中的General Purpose Key

（C）在1720上，cry key pubkey-chain rsa ####设置public key

addressed-key 10.130.23.244 ####设置关联10.130.23.244ip地址的key

key-string ####定义key串

粘贴从3662上复制的General Purpose Key

#####如果第三步生成了两种key，则这里复制粘贴的，应该是Encryption Key（三个key中的第二个）

（5）定义isakmp policy

cry isa policy 1

authentication rsa-encr ####采用rsa Encryption key进行验证

####authentication参数必须配置，其他参数如group、hash、encr、lifetime等，如果进行配置，需要注意两个路由器上的对应参数配置必须相同。

（6）定义transform-set

cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac

####其中vpn-tfs为transform-set name，后面两项为加密传输的算法

mode transport/tunnel #####tunnel为默认值，此配置可选

（7）定义crypto map entry

cry map vpn-map 10 ipsec-isakmp

####其中vpn-map为map name，10 是entry 号码，ipsec-isakmp表示采用isakmp进行密钥管理

match address 144 ####定义进行加密传输的数据，与第二步对应

set peer 10.130.23.244 ####定义peer路由器的ip

set transform-set vpn-tfs ####与第?*蕉杂?br /> ####如果一个接口上要对应多个vpn peer，可以定义多个entry，每个entry对应一个peer；同样，pubkey也要对应进行设置。

（7）将crypto map应用到接口上

inter f0 #####vpn通道入口

cry map vpn-map

（8）同样方法配置3662路由器。

1720完整配置：

VPN1720#sh run

Building configuration...Current configuration : 1490 bytes!

version 12.2

service timestamps debug uptime

service timestamps log uptime

no service password-encryption!

hostname VPN1720!

logging buffered 4096 debugging

no logging rate-limit

enable password CISCO!

username vclient1 password 0 vclient1

mmi polling-interval 60

no mmi auto-configure

no mmi pvc

mmi snmp-timeout 180

ip subnet-zero!

!

ip domain-name fjbf.com!

ip audit notify log

ip audit po max-events 100!

crypto isakmp policy 1

encr 3des

authentication rsa-encr

group 2!

!

crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!

crypto key pubkey-chain rsa

addressed-key 10.130.23.244

address 10.130.23.244

key-string

305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00BF3672 CB4D69EF

D131C023 C93EA4C5 7E09FBDB 23E9F910 EF04344A 2A4D1956 4E49DADC 5FAAE102

DBEDE13D 7911B1AD 23545B13 8EBB4791 E527B259 F87E605F 2D020301 0001

quit!

crypto map vpn-map 10 ipsec-isakmp

set peer 10.130.23.244

set transform-set vpn-tfs

match address 144!

！

!

interface Loopback0

ip address 172.16.1.1 255.255.255.0!

interface FastEthernet0

ip address 10.130.23.246 255.255.255.240

speed auto

crypto map vpn-map!

interface Serial0

no ip address

encapsulation ppp

no keepalive

no fair-queue!

ip classless

ip route 172.16.2.0 255.255.255.0 10.130.23.244

no ip http server

ip pim bidir-enable!

!

access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255!

!

line con 0

exec-timeout 0 0

speed 115200

line aux 0

line vty 0 4

login!

end

说明：

（1）采用rsa encrypted方式加密传输数据，默认key长度为512字节，最高可设为2048字节。安全性能较高。

（2）100M双工交换网络中，在双向同时ping 15000字节的大包进行测试时，1720的cpu使用率一度高达90％左右，3662的使用率约为25％，两台路由器内存使用率则变化不大。可见用rsa encrypted方式加密，对低端路由器的cpu性能影响很大。

常用调试命令：

show cry ip sa

show cry isa sa

deb cry isa

deb cry ip

clear cry isa

篇8：vpn网络建设解决方案

一、认识VPN

现在有很多连接都被称作VPN (Virtual Private Network:虚拟专用网) , 那么一般所说的VPN到底是什么呢?虚拟专用网指的是依靠ISP (Internet服务提供商) 和其他NSP (网络服务提供商) 在公用网络中建立专用的数据通信网络的技术。顾名思义, 虚拟专用网不是真正的专用网络, 却能够实现专用网络的功能。在虚拟专用网中, 任意两个节点之间的连接并没有传统专网所需的端到端的物理链路, 而是利用某种公众网的资源动态组成的。

我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络, 而不是Frame Relay或ATM等提供虚拟固定线路 (PVC) 服务的网络。以IP为主要通讯协议的VPN, 也可称之为IP-VPN。

由于VPN是在Internet上临时建立的安全专用虚拟网络, 用户就节省了租用专线的费用, 在运行的资金支出上, 除了购买VPN设备, 企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用, 并节省了长途电话费, 这就是VPN价格低廉的原因。

二、VPN安全技术的分类

由于传输的是私有信息, VPN用户对数据的安全性比较关心。目前VPN主要采用四项技术来保证安全, 这四项技术分别是隧道技术 (Tunneling) 、加解密技术 (Encryption&Decryption) 、密钥管理技术 (Key Management) 、使用者与设备身份认证技术 (Authentication) 。

(一) 隧道技术是VPN的基本技术, 类似于点对点连接技术, 它在公用网建立一条数据通道 (隧道) , 让数据包通过这条隧道传输。隧道是由隧道协议形成的, 分为第二、三层隧道协议, 第二层隧道协议先把各种网络协议封装到PPP中, 再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等, 其中L2TP协议是目前IETF的标准, 由IETF融合PPTP与L2F而形成。

第三层隧道协议把各种网络协议直接装入隧道协议中, 形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等, 其中IPSec (IP Security) 由一组RFC文档组成, 定义了一个系统来提供安全协议选择、安全算法, 确定使用密钥等服务, 从而在IP层提供安全保障。

(二) 加解密技术是数据通信中一项较成熟的技术, VPN可直接利用现有技术。

(三) 密钥管理技术的主要任务是在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要利用Diffie-Hellman的演算法则在网络上传输密钥;在ISAKMP中, 双方都有两把密钥, 分别用于公用、私用。

(四) 身份认证技术最常用的是使用者名称与密码认证、卡片式认证等。

三、地区级人民银行与同城金融机构的VPN解决方案

本方案建议通过宽带线路连接到Internet上, 再通过VPN路由器连到人民银行的特定局域网上 (非内联网) , 其他金融机构可通过宽带路由器走ADSL/FTTB等宽带线路进入Internet, 各工作站也可以通过Internet来访问人民银行的特定局域网, 实现ERP软件和基于数据交换的业务系统的需求。另外, 出差在外的公司员工可利用随身携带的笔记本电脑通过拨打本地的ISP号码进入Internet, 通过Internet来访问某些资源, 从而减少昂贵的长途拨号、专线费用以及系统中继等问题。

可使用以下2种方式完成VPN的连接。

(一) 基于VPN的远程访问:即单机连接到网络, 又称点到站点, 桌面到网络。用于提供远程用户对公司内部网的安全访问 (如图1) 。

(二) 基于VPN的网络互联:即网络连接到网络, 又称站点到站点, 网关 (路由器) 到网关 (路由器) 或网络到网络。它既可用于企业总部网络和分支机构网络的内部主机之间的安全通信, 又可用于企业的内部网与企业分支机构网络之间的信息交流, 并提供一定程度的安全保护, 防止对内部信息的非法访问。为了保证数据传输的稳定性, 建议使用此种方法 (如图2) 。

为了最大限度地保护用户数据的安全, VPN路由器通过Internet来创建专用加密通道的连接, 使用3DES及IPsec加密。它有全功能的、安全的防火墙。VPN解决方案的特色是可以方便地集成在商业访问环境中, 作为相互补充的元件, 既方便用户自动实施又便于管理, 并且具有节约资金、安全、性能优化等特点, 同时还提供了对用户来讲是透明的安全访问。

VPN通过一种加密算法使通过公用Internet传输的公司专用数据得到加密保护。对普通用户来说, 由于VPN设备的加入, 使得这一部分Internet是不可访问的。因此, 在虚拟专用网络内部传输数据是安全、可靠的。